見出し画像

NFTを安全に管理する方法

NFTGo 公式
引用元:NFTGo.io

NFTエコシステムにおける悪質行動 

過去数年間で、NFTエコシステムは多くの注目を浴びるようになり、ユーザー数、取引数、時価総額取引量が増加する傾向にあります。
 
しかし、このような成功と同時にNFTエコシステムにも、以下のような悪質行動が市場に行われています。 

スキャマー:企業のemail情報をハッキングし、取引先に変身し、貿易取引代金を横取りする詐欺集団
フィッシャー:アカウントパスワードやクレジットカード番号のような個人情報を盗み出す虚偽ウェブサイト。
合法的なウェブサイトを装った虚偽のウェブサイトが、虚偽の電子メールやオンライン広告を使用して個人情報を提供するように落とし穴を作る集団

ハッカー:コンピューターシステム内部構造や動作などに潜りこむ集団
 

ブロックチェーン保安およびデータ分析企業であるパックシールド(PeckShieldInc.)で公開された文書によると、OpenSeaに向けたフィッシング攻撃により約254個のNFT(計170万ドル)が盗まれたことが分かったのです。

類似の報告書によると、ディスコード攻撃により11個のBoredApeYachtClubおよびMutantApeYachtClubトークンが166万ドルに及ぶ損失を被ったそうです。

資産の安全を最優先とするコレクターや投資家にとって、ウェブ上の悪質集団は非常に大きな懸念となっています。
 
ハッカーたちは、ディスコードやテレグラムを通じてコレクターを狙っています。
そして市場価値を考慮すればハッカーたちは今も、他の脆弱なチャンネルを探している可能性が非常に高いでしょう。高炉やNFT技術に対する関心が高まるにつれ、生態系のプレイヤー(投資家および収集家)は資産を安全に維持するために持続的にアップデートし、最高のセキュリティを維持しなければならなりません。
 
今回の記事では、自身のウォレットを安全に保護し、フィッシングや
ハッキングからNFT資産を守る方法についてお伝えしたいと思います。 

NFTはどこに保存されるのか?

デジタルウォレットのメタマスク

ウォレット

まず、NFTが保存されるウォレットについて解説していきます。

NFTを保存するには、コールドウォレット ホットウォレットの二種類から
選ぶ必要があります。
ウォレットは、コールドウォレットやホットウォレットでも関係なしに取引ができる個人キーセットが含まれたソフトウェアです。

ソフトウェアウォレット/ホットウォレット
ホットウォレットは「クリック」だけで Web3.0に接続したり、資産を受け取ることができる 汎用装置のソフトウェアです。

ハードウェアウォレット/コールドウォレット
コールドウォレットは Web3.0に接続したり資産を受け取ることができる 専用ハードウェア装置のソフトウェアです。 ホットウォレットとの主な違いは、シードフレーズがインターネットに届かず、取引をするためには物理的に(物理的またはタッチスクリーンで)承認しなければならないということです。購入できるハードウォレットの例としては、TrezorまたはLedgerが 挙げられます。
ホットウォレット/コールドウォレットはパスワードを生成しなければいけません。このパスワードはウォレットにアクセスする際に使用されます。
  

ウォレットのセキュリティを守るには?



ウォレットアドレスは共有してもOK
ウォレットの公開アドレスはメールアドレスと同じで、アドレスがあれば 誰でもNFTを送ることができます。
 
一方、個人キー(パスワード)は公開アドレスとは違い、絶対に誰にも見せたり送ったりしてはいけません。
個人キーを他人に知らせるということは、自分の全ての権限を他人に共有することになるので、誰もがユーザーのすべての資産を枯渇させることができてしまうのです。 
よって、NFTを安全に保護するためには個人キーが非常に大切です。

個人キーを使用して遂行できる作業は以下の通りです。
 
●NFTをアドレスから引き出すこと
●該当のアドレスの個人キーがあることを証明するコントレックスに署名する(公開アドレスを所有していることを確認する手段)


ここで、新しい攻撃ベクトルについて見てみましょう。
最近一部のハッカーが人々にNFTを送信しており、NFTと相互作用する際(他のウォレットに送信したり販売)、情報を盗んでいます。この場合、
NFTと相互作用をさせないことが必要不可欠です。
NFT契約者が悪性署名または承認を使用しようとする方式で、このような 署名または承認もユーザーのIPを得るのに使用できるのです。
 
他に、フィッシングメールを使用する方法もあります。
電子メールから、ウォレットを偽ウェブサイトに接続させて資産を
盗むという手法です。
この場合、以前に接触したことのないリンクをクリックせず、常にウェブサイト名を再度確認すれば防ぐことができます。この方法がおそらく現在ハッカーが公開アドレスやEメールを持っているだけでユーザーを攻撃できる 唯一の方法でしょう。

 
さらに公開してはいけないのは、シードフレーズ(seed phrase)です。
シードフレーズは 12, 18, 24 など数字の羅列もしくは単語の羅列です。
このシードフレーズはウォレットを復旧するときに使われます。個人キーを紛失した(忘れた)場合、シードフレーズを通して再び生成することができます。
個人キーと同様に、シードフレーズは誰とも共有してはならなく、デジタル保存サービス(ドロップボックス、ボックス、 iCloud、写真、携帯メモ、コピー)よりは紙に書いて保存することを勧めます。
 
パスワードを追加外ウォレットに保安アカウントを追加する方法は
以下の通りです。
暗号文(語色)は一連の文字または単語で、これをシードパスと結合すれば ウォレットに新しいウォレットが生成されます。
例えば、次のような組み合わせでウォレットに新しいウォレットを
作ることができます。
 
●シードフレーズ + "NFTGo"
●シードフレーズ + 任意の数字
●シードフレーズ + 任意の文字
●シードフレーズ + すべての構文
 
上記の例で、該当公開住所と異なるプライベート鍵を使用して新しいウォレットを作ることができます。暗号機能はコールドウォレットでのみ使用できます。
 

コールドウォレットでセキュリティを二重に強化


コールドウォレットを購入することは、セキュリティを強化するにあたり 有効な方法です。
最も人気のある2つのハードウェアウォレットは、TrezorとLegardです。
どちらもセキュリティには優れていますが、長所と短所が異なります。

また、どのサイトがウォレットに接続されているかをいつでもダブルチェックできます。権限を取り消す主な2つのウェブサイトはrevoke.cashとetherscanです。 また、ウォレットに接続されたウェブサイトを常に再確認することが大切です。 

セキュリティを強化する方法


 
常に公式ウェブサイトよりWeb3アプリやウォレットをダウンロード
クリプト/NFTハッキングされる主な原因の一つは、ユーザーが公式ウェブサイトのように見える非公式ソースを訪問することによるものです。
ダウンロードしたアプリが元のソースではない場合がありますので、GooglePlayでWeb3アプリをダウンロードしてはいけません。
 
● 公式ウェブサイトを確認する方法
 アドレスバーに注意してください。アドレスバーが常に http://ではなく、https://であることを確認しましょう。この「s」はセキュリティを意味し、ウェブサイトが暗号化を使用してデータを転送し、ハッカーから保護していることを意味します。
そして、ドメイン名を必ず確認してください。 ハッカーたちが最もよく使う手法の一つがドメイン名に若干の違いを使用して同じウェブサイトの類似バージョンを作ることです。
例えば、https://wobble.comのウェブサイトドメイン名はoを0に置き換えてhttps://w0oble.comのように変更したりすることがあります。
したがって、ドメイン名のすべてのアルファベットを細かく確認することをおすすめします。

そして、間違った文法に注意しましょう。
偽サイトは比較的短時間で作られるため、スペル、句読点、大文字使用および文法エラーが過度に現れる場合が多いため、そのようなウェブサイトは 避ける必要があります。

● 公式チャンネルを確認
上記で述べたように、信頼できる唯一の出所は公式ウェブサイト、公式ツイッターアカウント、公式ディスコードなど公式メディアしかありません。
常に類似チャンネルではない公式チャンネルで相互作用しているかを確認することをお勧めします。公式チャンネルを確認する方法は次のとおりです。
 
1.アカウント活動の確認。
2.アカウントフォロワーの確認
3.アカウント内容を確認
4.コメントと参加を確認

●ログイン資格証明やプライベート鍵を誰とも共有しない
ログイン資格証明などを忘れずに保存し、また誰にも教えないようにしましょう。
 
●購入する前にNFTを確認
NFT購入または発行を進める前に、プロジェクトに関連するチームの評判、コミュニティの有機的相互作用および人々がプロジェクトについて評価する記事などを確認することをおすすめします。
 
●NFTを発行する際は複数のウォレットを使用
バーナー(Burner)ウォレットは、NFT発行のみを目的に作成された補助ウォレットです。このウォレットはガス代として発行するのに必要な正確な金額で生成され、資金が調達されます。発行が完了すると、発行されたNFTはNFTを保存する目的で使用される他のウォレットに転送されます。
こうすれば、メインウォレットが脆弱なスマート契約またはウェブサイトと相互作用するリスクが軽減されます。バーナーウォレットとして使用するウォレットを複数生成される可能性があり、脆弱性を発見した場合はバーナーウォレットを直ちに廃棄することをお勧めします。
 
●疑わしいアカウントのリンクをクリックしない
ハッカーがアカウントとウォレットへのアクセス権限を得る方法の一つは、ディスコードアカウントを通じて不審なウェブリンクを送ったり、景品やホワイトリストへのアクセスを誘導するEメールを通じてコードを送ることです。
常に、見知らぬ人および非公式アドレスからメッセージを受信できないようにテレグラム、ディスコード及びDMを制限し、グループの主催者または
関係者の役割をする公式のDMを通じてリンクを送るすべてのユーザーを通報しなければいけません。
 
●トークン承認を検討し、使用していないトークン承認を取消
ユーザーは毎日、他のプロトコルとリンクと相互作用し、スマート契約に
関する情報に基づいてアクセス及び権限を付与します。随時付与されたアクセス及び許可を検討し、撤回することは非常に重要です。
詳細はhttp://revoke.cash/で確認できます。
 
●取引を実行する前に、スマート契約詳細情報を読んで確認
取引を確認する前に、常にスマート契約の権限詳細情報を読むことをおすすめします。多くのハッカーがスマート契約に自分の行為を隠し、ウォレットにある資金に対する権限と不当なアクセス権限を付与するためです。
注意深く読んで、スマート契約の詳細情報に脅威や弱点はないかを確認する必要があります。
 
●ニュースで暗号化アプリの新しい弱点を確認
毎日新しいハッキングが感知されるため、脆弱性、脅威およびハッキングに関する最新情報とニュースを確認することが大切です。
 

まとめ


NFT市場への関心が高まるにつれ、セキュリティと保安問題はとても重要な課題となりました。
適切な知識を持ち、安全な方法で収集家と投資家から貴重な作戦や資金を
盗まれないようにしましょう。

引用元:NFTGo.io


 NFTGoとは
NFTGoはNFTデータ集約・統合 アナリティクスサ ·プラットフォームとして、ユーザーが直接分析できるようなNFT分析ツール、 マーケット·データ、大手取引者追跡情報などの様々なサービスを提供しています。

Website: https://nftgo.io/ja
Twitter: https://twitter.com/nftgoio
Twitter: https://twitter.com/NFTGoJapan
Discord: https://discord.com/invite/38E4sEaFJr
Mirror: https://nftGo.mirror.xyz/